Ismétlés Ismétlés

AD – Alternatív jelszó házirendAD – Alternatív jelszó házirend

BitLocker, EFSBitLocker, EFS

SSTP VPNSSTP VPN

Windows Windows SService hardeningervice hardening, Session 0 izoláció, , Session 0 izoláció, belépés-hitelesítésbelépés-hitelesítés

OS fOS fájl védelem, eszköz/driver telepítés ájl védelem, eszköz/driver telepítés korlátokkorlátok

UACUAC, Windows Defender, IE7 védett mód, Windows Defender, IE7 védett mód

WWFF with Advanced Securitywith Advanced Security, IPSec, IPSec

Kismillió GP opcióKismillió GP opció

NAPNAP

Stb.Stb.

IsmétlésIsmétlés

AD – Alternatív jelszó házirendAD – Alternatív jelszó házirend

BitLocker, EFSBitLocker, EFS

SSTP VPNSSTP VPN

Eddig: egy tartomány = egy jelszó házirend, pedig Eddig: egy tartomány = egy jelszó házirend, pedig lehetne alternatíva, igény van rá lehetne alternatíva, igény van rá W2K8: tetszőleges számú új jelszó- és kizárási W2K8: tetszőleges számú új jelszó- és kizárási házirend a tartományon belülházirend a tartományon belül

Teljesen új logika szerintTeljesen új logika szerintNem egy új opció a CsoportházirendbenNem egy új opció a Csoportházirendben

KritériumokKritériumokWindows Server 2008 tartományi működési szintWindows Server 2008 tartományi működési szint

Kliensoldalon nincs semmilyen feltételKliensoldalon nincs semmilyen feltétel

Csak a felhasználóknak és a globális biztonsági Csak a felhasználóknak és a globális biztonsági csoportoknak csoportoknak

Nem alkalmazható a szervezeti egységeken isNem alkalmazható a szervezeti egységeken is

Át kell gondolni a hierarchiátÁt kell gondolni a hierarchiát

Több új jelszóházirend is érvényesülhet egy Több új jelszóházirend is érvényesülhet egy adott fiókonadott fiókon

„„PPrecedence rulesrecedence rules””

Jelenleg kissé nehézkes kezelni Jelenleg kissé nehézkes kezelni De jön az De jön az FGPP Management FGPP Management

a a Beta 3Beta 3-ban még nincs-ban még nincs

IsmétlésIsmétlés

AD – Alternatív jelszó házirendAD – Alternatív jelszó házirend

BitLocker, EFSBitLocker, EFS

SSTP VPNSSTP VPN

OOpcionális komponenspcionális komponensServer ManagerServer Manager-en keresztül telepíthető-en keresztül telepíthető

Kötetek támogatásaKötetek támogatásaBármelyik kötet védelme (kivéve amiről fut az OS)Bármelyik kötet védelme (kivéve amiről fut az OS)

Külön kell (lehet) engedélyezni kötetenkéntKülön kell (lehet) engedélyezni kötetenként

Az indításakor egy „Az indításakor egy „auto-unlock” auto-unlock” és egy visszaállítási és egy visszaállítási kulcsot generálkulcsot generál

Új kombinációÚj kombináció: TPM+USB+PIN: TPM+USB+PIN

UEFI support (UEFI support (csak csak 6464 biten biten))

Séma kiterjesztés > tárolási helyek + jogosultsági Séma kiterjesztés > tárolási helyek + jogosultsági listalista

Minden DC minimum Windows Minden DC minimum Windows Server 2003 SP1Server 2003 SP1

W2K8 W2K8 Beta 3 Beta 3 és felett a sémabővítés megtörténtés felett a sémabővítés megtörtént

Egy sérült Bitlocker kötet helyrerakásához kell:Egy sérült Bitlocker kötet helyrerakásához kell:48 digites visszaállítási jelszó48 digites visszaállítási jelszó

Egy ún. „Egy ún. „Key package dataKey package data””

Mindkettő szükséges minden számítógép objektum Mindkettő szükséges minden számítógép objektum eseténesetén

Egyetlen TPM user jelszó létezik gépenkéntEgyetlen TPM user jelszó létezik gépenkéntViszont több visszaállítási jelszót is generálhatunkViszont több visszaállítási jelszót is generálhatunk

Alapértelmezés szerint Alapértelmezés szerint nincs mentés az AD-ba!nincs mentés az AD-ba!

A visszaállításhoz:A visszaállításhoz:

ADAD

48 karakteres jelszó48 karakteres jelszó

USB: 256 bites kulcsUSB: 256 bites kulcs

Recovery folder: központi Recovery folder: központi megosztás a visszaállítási megosztás a visszaállítási jelszó tárolásrajelszó tárolásra

manage-bde.wsfmanage-bde.wsfki-be kapcsolás, alapműveletekki-be kapcsolás, alapműveletek

%systemdrive%\Windows\system32%systemdrive%\Windows\system32

Az ajánlás szerint kisebb környezetbe valóAz ajánlás szerint kisebb környezetbe való

BitLocker BitLocker szkriptek / szkriptek / TPM WMI providerTPM WMI providerekek Nagyobb méretekbenNagyobb méretekben

Speciális vagy tömeges telepítésnél Speciális vagy tömeges telepítésnél

(unattend, ImageX, WDS, SMS 2003 OSD)(unattend, ImageX, WDS, SMS 2003 OSD)

Minta Minta sszkzkript ript - - EnableBitLocker.vbsEnableBitLocker.vbs

BitLocker Drive Preparation ToolBitLocker Drive Preparation ToolA megfelelő környezet utólagos létrehozásaA megfelelő környezet utólagos létrehozása

Szkriptelhető parancssori felület, testreszabható Szkriptelhető parancssori felület, testreszabható alkalmazásalkalmazás

BitLocker Recovery Password Viewer for ABitLocker Recovery Password Viewer for ADDA címtárban tárolt jelszavak megkeresése és A címtárban tárolt jelszavak megkeresése és megtekintésemegtekintése

Az erdőben kereshetünk vele, tartományok között isAz erdőben kereshetünk vele, tartományok között is

BitLocker Repair Tool BitLocker Repair Tool Adatmentés egy sérült, titkosított kötetrőlAdatmentés egy sérült, titkosított kötetről

A visszaállítási jelszó vagy kulcs azért ehhez is kellA visszaállítási jelszó vagy kulcs azért ehhez is kell

Smartcard Smartcard támogatástámogatásKépes tárolni a user és a visszaállítási Képes tárolni a user és a visszaállítási kulcsokatkulcsokat

Belépésnél cache-elheti a PIN-t > SSOBelépésnél cache-elheti a PIN-t > SSO

Felhasználónkénti Felhasználónkénti Offline FilesOffline Files titkosítás titkosítás

Pagefile Pagefile titkosítás (csak óvatosan)titkosítás (csak óvatosan)

Recovery: RDP-n keresztül isRecovery: RDP-n keresztül is

Varázslók minden művelethezVarázslók minden művelethez

A kliens kapcsolódik a

szerver megosztáshoz

Szerver

Egyszerű fájlküldés

SMB (2.0) protokoll

Távoli EFS titkosítás(A szerver

„megszemélyesíti” a felhasználót a kulcsokhoz

és a tanúsítványhoz)

Trust kapcsolat kell a

delegáláshoz

IsmétlésIsmétlés

AD – Alternatív jelszó házirendAD – Alternatív jelszó házirend

BitLocker, EFSBitLocker, EFS

SSTP VPNSSTP VPN

Abszolút tűzfalbarát, minden NAT / tűzfal átengediAbszolút tűzfalbarát, minden NAT / tűzfal átengedi

Nem igényel extra konfigot a szerveroldalonNem igényel extra konfigot a szerveroldalon

Nem igényel extra komponenseket / beállításokat Nem igényel extra komponenseket / beállításokat a kliensoldalona kliensoldalon

Hitelesítés a PPP rétegben > nincs újdonságHitelesítés a PPP rétegben > nincs újdonság

Beépített NAP „health check” opcióBeépített NAP „health check” opció

Teljesen CMAK kompatibilis (lesz), IPv6 isTeljesen CMAK kompatibilis (lesz), IPv6 is

Csak W2K8 és Vista SP1 kompatibilisCsak W2K8 és Vista SP1 kompatibilis

Site-to-Site VPN esetén nem használhatóSite-to-Site VPN esetén nem használható